Ransomware KillDisk varian Linux telah ditemukan oleh para peneliti di ESET seminggu setelah setelah peneliti CyberX menemukan versi pertama KillDisk yang di dalamnya terdapat fitur ransomware tapi hanya mengincar PC Windows.
KillDisk varian terbaru ini merupakan keluarga baru bagi keluarga malware KillDisk penghapus disk, yang sebelumnya beroperasi untuk menyabotase perusahaan dengan secara acak menghapus data dan mengubah file, dan setelah Windows, pengguna Linux harus ikut berhati-hati.
ESET dan KillDisk
Peneliti ESET yang telah meneliti secara mendalam kasus ini mengatakan bahwa cara kerja ransomware KillDisk Windows dan Linux sangatlah berbeda, yang paling mencolok dan menjadi masalah adalah KillDisk tidak menyimpan kunci enkripsi di mana pun, apakah dalam disk atau online.
Biasanya, dengan kondisi seperti ini, korban tidak akan pernah dapat memulihkan file terenkripsi karena kunci enkripsi akan hilang setelah proses enkripsi berakhir.
Namun, di balik sebuah permasalahan pasti selalu ada jalan keluar, dengan munculnya ransomware KillDisk varian Linux sebagai masalah baru. Peneliti ESET berhasil menemukan cacat dalam varian Linux yang memungkinkan untuk memulihkan file terenkripsi. Tetapi kelemahan yang sama tidak ada dalam versi KillDisk Windows.
Ransomware KillDisk Varian Windows
Windows varian, terdeteksi oleh ESET sebagai Win32/KillDisk.NBK dan Win32/KillDisk.NBL, mengenkripsi file dengan AES 256-bit kunci enkripsi yang dihasilkan menggunakan CryptGenRandom dan kunci AES simetris kemudian dienkripsi menggunakan 1024-bit RSA. Agar tidak mengenkripsi file dua kali, malware menambahkan penanda berikut ke akhir setiap file dienkripsi:! DoN0t0uch7h $ CrYpteDfilE.
Kunci private RSA disimpan dalam server milik pelaku sehingga bisa digunakan untuk mendekripsi file korban setelah korban membayar uang tebusan sebesar 222 Bitcoin atau setara dengan 2,8 miliar.
Pelaku menerima kunci enkripsi pada server mereka melalui protokol Telegram, digunakan untuk aplikasi chat eponymous IM. Karena ini, CyberX menamakan operator ransomware sebagai Grup TeleBots.
Ransomware KillDisk Varian Linux
Varian Linux yang ditemukan oleh peneliti ESET seminggu yang lalu sangat berbeda dari varian KillDisk Windows.
Pertama dan terpenting, versi Linux tidak terhubung dengan server C & C melalui API Telegram lagi. enkripsi juga berbeda. Menurut EST, file korban dienkripsi menggunakan Triple-DES diterapkan untuk file blok 4096-byte, dan setiap file dienkripsi menggunakan satu set kunci enkripsi 64-bit yang berbeda.
KillDisk varian Linux menargetkan folder berikut, pada 17 subfolder, mengenkripsi semua file dan menambahkan “DoN0t0uch7h! $ CrYpteDfilE”
- /boot
- /bin
- /sbin
- /lib/security
- /lib64/security
- /usr/local/etc
- /etc
- /mnt
- /share
- /media
- /home
- /usr
- /tmp
- /opt
- /var
- /root
The KillDisk Linux ransomware juga akan menulis ulang boot sector dan menggunakan bootloader GRUB untuk menampilkan ransom note di layar. Dan yang menarik, ransom note versi Linux kata demi kata yang digunakan sangat identik dengan versi Windows. termasuk alamat email untuk menghubungi pelaku.
Sebelum bergelut di dunia ransomware, KillDisk sudah cukup terkenal sebagai malware yang digunakan untuk kegiatan mata-mata atau sabotase sasaran high profile, dengan menghapus file sistem, mengganti file data dan menulis ulang ekstensi file.
Pada bulan November 2015, KillDisk digunakan dalam serangan terhadap sebuah kantor media Ukraina. Pada bulan Desember 2015, KillDisk digunakan untuk menyabot jaringan listrik Ukraina. Sebuah kelompok cyber spionase dikenal sebagai BlackEnergy diduga berada di balik serangan.
Pada bulan Desember 2016, kelompok TeleBots menggunakan ransomware KillDisk Windows untuk menyerang bank Ukraina. Namun masih belum ditemukan benang merah atau bukti yang menghubungkan kelompok TeleBots dengan BlackEnergy.
Ransomware sebagai Kamuflase
Dalam semua serangan, BlackEnergy telah digunakan KillDisk untuk menghancurkan komputer dan menghapus bukti serangan mereka, dan membuatnya seolah-olah dilakukan oleh keluarga malware lainnya. Tipu daya itu kembali mereka lakukan tapi kali ini dengan menggunakan ransomware.
Fitur ransomware baru ditambahkan adalah cara lain untuk menutupi serangan mereka, untuk membuat perusahaan yang jadi korban berpikir mereka mungkin telah terkena ransomware, dan tidak menyelidiki kemungkinan atau tujuan lain dari serangan yang datang.
Permintaan uang tebusan yang sangat besar juga bagian dari skenario, karena tidak masuk akal jika sebuah perusahaan mau menghabiskan uang dalam jumlah milyaran rupiah hanya untuk memulihkan file mereka.
Situasi ini akan memaksa korban angkat tangan dan merelakan data-data milik perusahaannya terenkripsi, dengan kata lain, petunjuk dan bukti-bukti yang ada dalam komputer akan ikut hilang selamanya menutupi kegiatan lain yang mereka lakukan.
Sumber berita:
www.welivesecurity.com
